A pesquisadora Natalie Silvanovich, do Google, detectou uma falha em cinco apps de mensagens no Android. A falha permitia a terceiros ouvirem ou até verem um usuário de forma oculta. Os cinco aplicativos considerados inseguros foram Signal, FB Messenger, JioChat, Mocha e Google Duo (sim, o Google achou falha no Google).

Em uma postagem no blog Google Project Zero, iniciativa da empresa que investiga vulnerabilidades em vários serviços de internet, Silvanovich detalha como estes erros fizeram com que apps relativamente confiáveis como Signal e FB Messenger se tornassem inseguros. Basicamente, o erro permitia a abertura de uma chamada oculta com um dispositivo receptor sem alertar o destinatário. A ligação abria silenciosamente um áudio, e às vezes até um vídeo, transmitindo em seguida de volta para o dispositivo de chamada. Os erros já foram corrigidos, mas os apps impressionaram negativamente por usa fragilidade.

“Teoricamente, assegurar o consentimento do receptor antes de uma transmissão de áudio ou vídeo se trata de simplesmente aguardar até o usuário aceitar a chamada, antes de adicionar qualquer faixa à conexão”, escreveu Silvanovich.

“Porém, quando analisei os aplicativos reais, eles permitiram a transmissão de muitas maneiras diferentes. A maioria delas levou a vulnerabilidades que permitem a conexão de chamadas sem interação com o receptor”, acrescentou.

As correções no Signal foram feitas em setembro de 2019. De acordo com Silvanovich, o app no iOS não chegou a ser afetado porque um segundo erro não relacionado impediu a efetivação de uma chamada oculta.

Já os outros apps receberam atualizações somente no ano passado: o JioChat, utilizado na Índia, em junho; o Mocha, popular no Vietnã, em agosto; o Facebook (FB) Messenger, em novembro; e o Google Duo, em dezembro.

Outros aplicativos

Silvanovich também investigou os mensageiros Telegram e Viber, mas não encontrou inseguranças semelhantes. Vale observar que, em 2018, ela foi a responsável por descobrir um bug de segurança no WhatsApp que permitia que hackers assumissem o controle do aplicativo por meio de uma chamada de vídeo.

A pesquisadora do Google explicou que as recentes descobertas vão no encalço de uma falha semelhante descoberta no Facetime no iOS e no macOS, em janeiro de 2019. Segundo ela, as vulnerabilidades se encontram nas “máquinas de estado”, dispositivos responsáveis pelo controle das chamadas nesses aplicativos.

“A vulnerabilidade era um bug lógico na máquina de estado do FaceTime que poderia ser exercida usando apenas a interface do usuário do dispositivo”, detalhou Silvanovich. “O fato de ter ocorrido uma vulnerabilidade tão séria e fácil de alcançar me fez pensar se outras máquinas de estado também sofriam vulnerabilidades iguais”, acrescentou.

Via Tom’s Guide

Imagem: Daniel Constante/Shutterstock